Asterisk TLS и SRTP с подписанным сертификатом

После обновления Bria на Iphone появилась ошибка 503 certificate validation failure, а все из-за того что Bria не хочет принимать самоподписной сертификат.

Так как раннее был получен сертификат от WoSign и этот сертификат сегодня будем добавлять в Asterisk.

Генерируем CSR в папку key файл на запрос сертификата и отправляем центр сертификации:

openssl req -nodes -newkey rsa:2048 -keyout mail_your_domain_com.key -out mail_your_domain_com.csr

Получилось два файла:

mail_your_domain_com.key 
mail_your_domain_com.csr

Отправляем содержимое файла mail_your_domain_com.csr в центр сертификации, после Вам пришлют zip файл с сертификатами:

for Apache.zip
for IIS.zip
for Nginx.zip
Other Server.zip

Распаковываем в папку key файл for Apache.zip и у нас получилось 4-е файла (два которые мы создали и два которые нам прислали).

1_root_bundle.crt
2_mail_your_domain_com.crt
mail_your_domain_com.key 
mail_your_domain_com.csr

В мануале Asterisk пишется что необходимо объединить ключ и сертификат (The server’s certificate file. Should include the key and certificate. This is mandatory if you’re going to run a TLS server.):

cat mail_your_domain_com.key > asterisk.pem
cat 2_mail_your_domain_com.crt >> asterisk.pem

Добавляем в sip_custom.conf:

tlsenable = yes # включаем TLS
tlsbindaddr = 0.0.0.0 # порт TLS 5061 слушает на всех интерфейсах сервера
tlscertfile = /etc/asterisk/key/asterisk.pem # путь к файлу с ключом и сертификатом
tlscafile = /etc/asterisk/key/1_root_bundle.crt # путь к файлу сертификат центра сертификации
tlsclientmethod = tlsv1 # протокол, по которому будут подключаться клиенты
tlscipher = all # алгоритм шифрования, можно использовать более стойкий
encryption=yes # включаем SRTP